Nest heeft zich vorige week behoorlijk in de nesten gewerkt. De slimme thermostaten van het bedrijf lekten namelijk al maanden adresgegevens van gebruikers. Die liepen over een onversleutelde verbinding over het netwerk. Dat ontdekten beveiligingsonderzoekers van de Princeton Universiteit, die hun bevindingen openbaar maakten.
De Nest-thermostaat, het bekendste product van Nest, stuurde onder andere de postcodes en huisnummers van gebruikers rond. De postcode moet worden ingegeven zodat de thermostaat het huidige weer op die locatie kan laten zien. De adresgegevens werden onversleuteld verstuurd, waardoor iemand met toegang tot het thuisnetwerk van de gebruiker ze kon onderscheppen én uitlezen met een man-in-the-middle-aanval. Nou is het niet echt heel erg dat de postcode werd gelekt - iemand die toegang had tot het netwerk van de gebruiker zit al op die locatie, dus kun je de postcode ook gewoon op internet opzoeken...
Het grotere probleem is volgens de onderzoekers alle persoonlijke informatie die lekt uit IoT-apparaten, een probleem waar veel beveiligers en IT'ers al jaren voor waarschuwen. Het is bovendien niet de eerste keer dat slimme apparaten persoonlijke gegevens blijken te lekken. Zo waren er al eens slimme koelkasten van Samsung die informatie uit je Google-agenda lekten.
Alles bij de bron; PCM